File Carving

Aus IT-Forensik Wiki
Version vom 2. Juli 2019, 19:12 Uhr von St181016 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Mittels File Carving lassen sich einzelne Dateifragmente wieder zu einer Datei zusammensetzen selbst dann, wenn die Metadaten nicht mehr vorhanden sind. Es ist…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Mittels File Carving lassen sich einzelne Dateifragmente wieder zu einer Datei zusammensetzen selbst dann, wenn die Metadaten nicht mehr vorhanden sind. Es ist somit ein mächtiges Werkzeug zur Wiederherstellung von Dateien und Dateifragmenten bei unlesbaren oder fehlenden Directory-Einträge. Hierzu werden die Rohdaten analysiert und festgestellt um welchen Dateityp es sich handelt bspw. Text, png, mp3… Zu Nutzen macht sich hier der bekannte Aufbau von vielen Datentypen, besonders der Beginn „Header“ und das Ende „Footer“ der File eines Types sind wichtig.

Es gibt einige Open-Source-Werkzeuge welche das Carving automatisieren. Foremost, Scalpel, Photorec oder Ftimes um nur ein paar zu nennen.